GoPlus：Polymarket 해킹 당해, 온체인과 오프체인 거래 결과 동기화 메커니즘에 결함 존재

据 GoPlus 中文社区披露，预测市场平台 Polymarket 因订单系统中链下与链上交易结果同步机制的设计缺陷遭到黑客攻击。

攻击者通过 nonce 操纵，使链上匹配交易在落地前被取消或失效，但链下记录仍有效，导致 API 误报，影响 Negrisk 等交易机器人的交易行为，导致用户损失。攻击过程分析如下：

1. 공격자가 Polymarket off-chain orderbook 에서 대량의 반대 거래를 제출/매칭합니다.

2. 공격자는 위조/중복 nonce 가 포함된 거래를 구성하거나 체인 상 nonce 경쟁을 이용하여 체인 상 거래가 반드시 revert 되도록 합니다.

3. Polymarket API 는 체인 상 확인 전에 "거래 성공"을 bot 에게 반환하여 bot 이 포지션이 헤지되었다고 생각하게 하지만 실제 체인 상 상태는 아직 변경되지 않았습니다.

4. 공격자는 이후 실제 체인 상 거래로 bot 이 노출한 방향을 먹어 "무위험"으로 이익을 얻습니다.

5. revert 가 체인 레이어에서 발생하기 때문에 Polymarket 수수료는 폭발하지 않으며, 공격 비용은 통제 가능하고 지속적으로 실행할 수 있습니다.

GoPlus 는 사용자에게 자동화 거래 도구를 일시 중지하고, 체인 상 거래 상태를 검증하며, 지갑 보안을 강화하고, Polymarket 공식 발표를 주의 깊게 살펴볼 것을 권장합니다.